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(54) Title: COMMUNICATION SYSTEM FOR MANAGING SAFELY AND INDEPENDENTLY A PLURALITY OF APPLICATIONS 
BY EACH USER CARD AND CORRESPONDING USER CARD AND MANAGEMENT METHOD 

(S4) Tltre: SYSTEME DE COMMUNICATION PERMETTANT UNE GESTION SECURISEE ET 1NDEPENDANTE D'UNE PLU- 
RALITY D-APPUCATIONS PAR CHAQUE CARTE UTILISATEUR, CARTE UTIL1SATEUR ETPROCEDE DE GESTION 
CORRESPONDANTS 



The invention features a communication system c 



terminal equipment (1), each consisting of a terminal (4) co-operating with a 
microprocessor-driven user card (SIM module; 5). Each user card includes data 
memorising means (8) comprising a plurality of objects and serving as medium 
least two separate applications, the user card comprising means (6, 7) for 
executing instructions pertaining to the applications. Each object contained in the 
user card data memorising means is associated with a first denned access control 
i by a set of first access conditions. Each object is also associated with 
at least another access control policy defined by a set of at least one alternative 
access condition. Each alternative access condition is applicable, for the said 
object, to a group of at least one instruction pertaining to the applications) 
using the said other denned access control policy. Each object is also associated 
with a plurality of access control policy indicators each indicating, for one of the 
applications, which access control policy to use with the application, die control access policy indicators being stored in the data memorising 
is (8). 




(57) Abreg* 



L'invention conccnic un systeme de communication, du type comprenant notamment une pluraiite d'equipements terminaux <1) 
constitues chacun d'un terminal (4) cooperant avec une cane utilisateur a microprocesseur (module SIM : 5). Chaque carte utilisateur inclut 
des raoyens (8) de memorisation de donnees comprenant une plurality d'objets et servant de support a au moins deux applications distinctes, 
la carte utilisaleur comprenant des moyens (6, 7) d'execution de commandes appartenant aux applications. Chaque objet compris dans les 
moyeos de nKUnorisation de donnees d'une carte utilisateur est associe a une premiere politique de controle d'acces deflnie par un jeu de 
premieres conditions d'acces. Selon rinvention, chaque objet est egalement associe* a au moins une autre politique de contrdle d'acces 
d6finie par un jeu d'au moins une condition d'acces alternative. Chaque condition d'acces alternative s'applique, pour ledit objet, a un 
groupe d'au moins une commande appartenant a la ou aux applications utilisant ladite autre politique de controle d'acces dormee. Chaque 
objet est 6galement associe a une plurality d'indicatews de politique de controle d'acces indiquant chacun. pour une des applications, quelle 
politique de contrdle d'acces utiliser avec cette application, les indicateurs de politique de controle d'acces erant stockes dans les moyens 
(8) de memorisation de donnees. 
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Systeme de communication permettant une gestion securisee et 
independante d'une pluralite d'applications par chaque carte utilisateur, 
carte utilisateur et procede de gestion correspondants. 

Le domaine de l'invcntion est celui des systemes de communication avec des 
5 equipements tenninaux constituds chacun d'un terminal cooperant avec une carte 

utilisateur a microprocesseur. 

L'invention s'applique notamment, mais non exclusivement, dans le cas d'un 
systeme de radiocommunication ccllulaire avec des stations mobiles constitutes chacune 
d'un terminai cooperant avec une carte utilisateur appelee module d' identification 
10 d'abonne (ou module SIM, pour "Subscriber Identity Module" en langue anglaise). 

L'invcntion s'applique egalement, anouveau non exclusivement, dans le cas d'un 
systeme de communication avec des stations de paiement constituees chacune d'un 
terminal bancaire cooperant avec une carte de paiement 

Plus precisement, rinvention conceme un systeme de communication permettant 
15 une gestion securisee et independante d'une pluralite d'applications par chaque carte 

utilisateur. L'invenrion conceme egalement une carte utilisateur et un precede - de gestion 
correspondants. 

Les inconvenients des systemes de communication connus sont presentes ci- 
dessous a travers l'exemple d'un systeme de radiocommunication ceilulaire. II est clair 
20 cependant que rinvention n'est pas iimitee a ce type de systeme, mais conceme plus 

generalement tout systeme de communication dans lequel une carte utilisateur, destinee a 
cooperer avec un terminal, supporte plusieurs applications. 

Dans le domaine de la radiocommunication ceilulaire, on connait notamment, 
principalement en Europe, le standard GSM rGroupe special Systemes Mobiles publics 
25 de radiocommunication fonctionnant dans la bande des 900 Mbz"). 

L'invention s'applique notamment, mais non exclusivement, a un systeme selon 
ce standard GSM. Plus generalement, elle peut s'appliquer a tous les systemes dans 
lesquels chaque carte utilisateur peut gerer au moins deux applications distinctes. 

Dans le cas d'un systeme de radiocommunication ceilulaire, un terminal est un 
30 equipement physique utilise par un usager du reseau pour acceder aux services de 
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telecommunication offerts. n existe differents types de terminaux, tels que notamment les 
portatifs, les portables ou encore les mobiles montes sur des vebicules. 

Quand un terminal est utilise" par un usager, ce dernier doit connecter au terminal 
sa carte utilisateur (module SIM), qui se presente generalement sous la forme d'une carte 
5 a puce. 

La carte utilisateur supporte une application principale t£lephonique (par exemple 
Tapplication GSM) qui permet son fanctionnement, ainsi que celui du terminal auquel elle 
est connectee, dans le systeme de radiocommunication cellulaire. Notamment, la carte 
utilisateur procure au terminal auquel elle est connectee un identifiant unique d*abonn£ 

10 (ou identifiant IMSI, pour "International Mobile Subscriber Identity" en langue anglaise). 

Pour cela, la carte utilisateur inclut des moyens d'execution de commandes (par exemple, 
un microprocesseur et une memoire programme) et des moyens de memorisation de 
donnees (par exemple une memoire de donn£es). 

L' identifiant IMSI, ainsi que tomes les informations individuelles concernant 

15 l'abonne et destinees a etre utilisees par le terminal, sont stockees dans les moyens de 

memorisation de donnees du module SIM. Ceci permet a chaque terminal d'etre utilise" 
avec n'importc quel module SIM 

Dans certains systemes connus, et notamment dans un systeme GSM, il cxiste un 
service de messages courts (ou SMS, pour "Short Message Service" en langue anglaise) 

20 pennettant l'envoi de messages courts vers les stations mobiles. Ces messages sont ends 

par un centre de service de messages courts (ou SMS-C, pour "SMS Center" en langue 
anglaise). 

Lorsqu'une station mobile recpit un message court, elle le stocke dans les moyens 
de memorisation de donnees de son module SIM. L'application principale telephonique 
25 de chaque module SIM de trailer chaque message court recu. 

A F origine, Tunique function d'un message court 6tait de tburnir une information 
a l'abonne, generalement via un ecran d'affichage du terminal. Les messages courts, dits 
messages courts normaux, qui rernplissent cette unique fonction ne contiennent done que 
des donnees brutes. 

30 Par la suite, on a imagin6 un service de messages courts ameliore (ou ESMS, 
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pour "Enhanced SMS" en langue anglaise), dans lequel deux types de messages courts 
peuvent etre envoyes, a savoir-Ies messages courts normaux pr&ites et des messages 
courts ameliores pouvant contenir des commandes. 

Ainsi, dans le document de brevet EP 562 890 par exemple, il est propose de 
transmettre a un module SIM, via des messages courts amdliores, des commandes 
permettant de mettre a jour ou de reconfigurer ce module SIM a distance. En d'autres 
termes, des commandes encapsulees dans des messages courts am61iores permettent de 
modifier Implication principale telephonique du module SIM. 

On a egalement propose que le module SIM serve de support a d'autres 
applications que Implication principale telephonique, telles que notamment des 
applications de location de voiture, de paiement ou encore de fidelity 

Du fait que les commandes appartenant a ces autres applications sont contenucs 
dans des messages courts ameliores, et done externes au module SIM, ces autres 
applications sont dites distantes ou OTA (pour "Over The Air" en langue anglaise). Par 
opposition, Implication principale tdlephonique, dont les commandes sont contenues 
dans les moyens de memorisation de donnees du module SIM, est dite locale. Les 
commandes sont egalement dites locales ou distantes, selon que l'application a laquelle 
elles appartiennent est elle-merne locale ou distante. 

Le document de brevet PCT/GB/940I295 decrit par exemple un module SIM 
supportant les applications distantes suivantes : mise a jour de numeros de t61ephones a 
distance, location (de voiture ou d'hStel notamment) et paiement. Chaque message 
comprend une commande suivie de donnees. A titre d'exemple, les quatre types de 
commandes distantes suivants (panni 255 possibles) sont presenter : 

les commandes d'ecriture, permettant de stocker dans le module SIM a partir 

d'un emplacement memoire specifie, des donnees contenues dans les messages 

recus; 

les commandes de lecture, permettant de lire des donnees dans le module SIM, a 
partir d'un emplacement memoire specifie", les donnees lues etant placees dans des 
messages a destination des appelants exterieurs ; 

les commandes de verraufflage/d6verroufflage, permettant d'autoriser ou interdire 



WO 97/44762 



PCT/FR97/00871 



4 

l'ecriture et la lecture d'emplacements memoires specifies du module SIM ; 

les commandes d'execution de programme, permettant d'executer un programme 

stocke dans le module SIM. 

Avec ces commandes distantes, on peut done executer des applications distantes 
5 (location, paiement, reconfiguration de l'application principale teiephonique, ...). On peut 

egalement ajouter de nouvelles fonctionnalites au module SIM. Ainsi, le module SIM 
peut devenir une carte multiservice, avec par exemple les fonctionnalites d'une carte de 
credit, d'un passeport, d'un permis de conduire, d'une carte de membre, etc. 

H est clair que ce recent concept de multi-application du module SIM est tres 
10 avantageux pour l'abonne. En effet, ce dernier peut maintenant effectuer de fagon ires 

simple, uniquement avec un terminal dans lequel est insere son module SIM, de 
nombreuses operations telles que par exemple la location d'une voiture ou le paiement 
d'un service. 

En revanche, ce recent concept de multi-application du module SIM, tel qu'il est 

15 mis en oeuvre actuellement, presente l'inconvenient raajeur de nc pas assurer la gestion 

independante de chacune des applications, locale ou distante. En effet, dans tous les 
systemes connus a ce jour, les fichiers des moyens de memorisation de donnees du 
module SIM sont accessibles de la meme facon par toutes les applications. 

Ainsi, dans le document de brevet PCT/GB/9401295 precite, I'acces a certains 

20 emplacements memoires par une commande est toujours autorise, tandis que I'acces a 

d'autres emplacements memoires par une commande peut etre soit autorise soit refuse. 
Mais, quel que soit remplacement memoire concerne", 1'accessibUite par une commande 
ne depend en aucune fa$on de rapplication i laquelle appartient cette commande. 

De meme, dans les specifications GSM actuelles (et notamment la specification 

25 GSM 11.11), aucune difference n'est faite entre les applications pour ce qui est des 

conditions d'acces aux fichiers des moyens de memorisation de donnees du module SIM. 
En effet, chaque fichier possede sa propre politique de contrdle d'acces standard, qui est 
unique et definie par un jeu de conditions d'acces standard, chacune de ces conditions 
d'acces standard s'appiiquant & une commande distincte pour ce fichier. Chaque 

30 condition d'acces standard peut prendre differentes valeurs, telles que par exemple 
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"ALWAYS" (acces toujours autoris<$), "CHV1" ou "CHV2" (acces autorise apres 
verification du possesses du module SIM) et "NEVER" (acces jamais autorise). Mais 
aucune de ces valeurs ne vise a Her Faeces au fichier a l'identite de V apphcation a laquelle 
appartient la commande qui demande cet acces. 

Cette absence de controle de Faeces aux fichiers en fonction des applications n'est 
pas satisfaisante du point de vue security. En effet, ceci signifie que toutes les 
applications distantcs supportees par les moyens de memorisation de donnees d'uu meme 
module SIM peuvent acceder a l'ensemble des fichiers de ces moyens de memorisation de 
donnees. Rien n'empSche done les donnees concemant une de ces applications distantes 
d'etre lues ou meme modifiees par une autre de ces applications distantes. II ressort 
clairement de ce qui precede que chaque application distante ne dispose pas pour ses 
donnees propres stock6es dans le module SIM d'une securite" et d'une confidentiality 
suffisantes. 

L'invention a notamment pour objectif de pallier cet inconv6nient majeur de l'etat 
de la technique. 

Plus precisement, Tun des objectifs de la presente invention est de fournir un 
systeme de communication (et notamment, mais non exclusivement, un systeme de 
radiocommunication cellulaire) dans lequel chaque carte utilisateur peut gerer de facon 
securisee et independante une pluralitfi d'applications. 

En d'autres termes. Tun des objectifs de l'invention est de pennettre a chaque 
foumisseur d' application d'^viter que d'autres applications que la sienne puissent acceder 
a au moins certains des objets (par exemple des fichiers) de la carte utilisateur qui 
supportent son application. 

Un autre objectif de l'invention est de pennettre la mise a jour (ou la 
reconfiguration) des objets de la carte utilisateur qui supportent les diff6rentes 
applications, tout en s'assurant que ces applications continuent a etre gerees de facon 
securisee et independante. 

Un objectif complementaire de l'invention est de pennettre la creation a distance 
d'une nouvelle application qui, comme les applications deja existantes, est supportee par 
des objets dont au moins certains auxquels elie est seule a pouvoir acceder. 
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Ces differents objectifs, ainsi que d'autres qui apparaltront par la suite, sont 
atteints selon l'invention a i'aide d'un systeme de communication, du type comprenant 
notamment une pluralite d'equipements tenninaux constitues chacun d'un terminal 
cooperant avec une carte utilisateur a microprocesseur, 

chaque carte utilisateur incluant des moyens de memorisation de donnees 
comprenant une pluralite" d'objets, lesdits moyens de memorisation de donnees servant de 
support a au moins deux applications distinctes. ladite carte utilisateur comprenant des 
moyens d'execution de commandes appartenant auxdites applications, 

chaque ob i et compris dans les moyens de memorisation de donnees d'une carte 
utilisateur etani associe" a une premiere politique de controle d'acces definie par un jeu de 
premieres conditions d'acces, chacune desdites premieres conditions d'acces 
s'appliquant, pour ledit objet, a un groups d'au moins une commande appartenant a la ou 
aux applications utilisant ladite premiere politique de controle d'acces, 

caracterise en ce que chaque objet est egalement associe a au moins une autre 
politique de contrile d'acces, chaque autre politique de controle d'acces etant definie par 
un jeu d'au moins une condition d'acces alternative, chaque condition d'acces alternative 
d'une autre politique de controle d'acces donnee s'appliquant, pour ledit objet, a un 
groups d'au moins une commande appartenant a la ou aux applications utilisant ladite 
autre politique de controle d'acces donnee, 

et en ce que chaque objet est egalement associS a une pluralite d'indicateurs de 
politique de contrSle d'acces, chaque indicateur de politique de controle d'acces 
indiquant, pour une desdites applications, quelle politique de controle d'acces, a savoir 
premiere ou autre, utitiser avec cette application, lesdits indicateurs de politique de 
controle d'acces gtant stockes dans lesdits moyens de memorisation de donnees. 
Le principe general de 1' invention consiste done a : 

associer a chaque objet (qui est par exemple un fichier), en plus de la 
premiere politique de controle d'acces (dite dans certains cas "standard"), 
une ou plusieurs autres politiques de controle d'acces ; et 
indiquer, pour chaque objet, la politique de controle d'acces (premiere ou 
autre) a utiliser avec chaque application. 
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Ainsi, I'acces a l'objet (par une commande) peut ne pas etre idcntique pour toutcs 
les applications. Chaque application voit I'acces dc ses differentes commandes a un objet 
deiinit par celles des politiques.de contr61e d'acces qui lui est associee pour cct objet. 

Avantageusement, pour chaque objet, au moins une autre politique de controle 
d'acces est specifique a une des applications, chaque condition d'acces alternative de cette 
autre politique de contrSle d'acces specifique s'appliquant, pour ledit objet, a un groups 
d'au moins une commande appartenant a 1'unique application utilisant cette autre politique 
de controle d'acces specifique. 

De facon avantageuse, pour chaque objet, au moins une autre politique de 
controle d'acces est entierement commune a au moins deux applications, chaque 
condition d'acces alternative de cette autre politique de controle d'acces entierement 
commune s'appliquant, pour ledit objet, a un groupe d'au moins une commande 
appartenant auxdites au moins deux applications utilisant cette aulre politique de controle 
d'acces entierement commune. 

Avantageusement, pour chaque objet, au moins une autre politique de controle 
d'acces est partiellement commune a au moins deux applications, 

certaines des conditions d'acces alternatives de cette autre politique de controle 
d'acces partiellement commune s'appliquant, pour ledit objet, a un groupe d'au moins 
une commande appartenant auxdites au moins deux applications utilisant cette autre 
politique de controle d'acces commune, 

d'autres des conditions d'acces alternatives de cette autre politique de controle 
d'acces partiellement commune s'appliquant, pour ledit objet, a un groups d'au moins 
une commande appartenant uniquement a l'une desdites au moins deux applications 
utilisant cette autre politique de controle d'acces commune. 

Ainsi, pour chaque objet, chaque application peut : 

soit avoir son propre jeu de conditions d' acces alternatives ; 

soit partager tout son jeu de conditions d'acces alternatives avec une ou 

plusieurs autres applications ; 

soit partager une partie seulement de son jeu de conditions d'acces 
alternatives avec une ou plusieurs autres applications. 
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Dans le cas le plus simple, chaque objet est assocte d'une part a la premiere 
politique de controle d'acces et d'autre part a une unique autre politique de controle 
d'acces. Cette derniere est definie par une seule condition d'acces, s'appliquant de facon 
commune a toutes les commandes des applications qui 1'utilisenL 

Dans le cas le plus complexe, chaque objet est associe" d'une part a la premiere 
politique de contrdle d'acces et d'autre part a autant d'autres politiques de controle 
d'acces distinctes qu'il existe d'apptications. Cbacune de ces autres politiques de controle 
d'acces est de"finie par une plurality de conditions d'acces distinctes s'appliquant chacune 
a une seule ou plusieurs des commandes appartenant a cette autre politique de controle 
d'acces. 

Dans un mode de realisation particulier du systeme de l'invention, du type 
permettant une radiocommunication cellulaire, ladite pluralit6 d'equipements tenninaux 
est une plurality de stations mobiles, lesdites cartes utilisateur etant des modules 
d' identification d'abonne\ 

Dans ce cas particulier d'un systeme de radiocommunication cellulaire, la plurality 
d' applications supportees par les moyens de memorisation de la carte utilisateur 
comprend par exemple l'application principale telepbonique (par exemple 1'application 
GSM)et: 

soit au moins une application distante (par exemple de location de voiture, 
de paiement ou encore de fidelite), dont les commandes sont foumies a 
partir de l'exterieur aux moyens d'execution de commande de la carte 
utilisateur (par exemple via des messages courts ameliores) ; et 
soit au moins une autre application locale, dont les commandes sont 
foumies en interne aux moyens d'execution de commande de la carte 
utilisateur (par exemple a partir d'une memoire programme ROM de cette 
carte utilisateur). 

II est a noter que la premiere situation est plus frequente que la seconde, du fait 
qu'une carte utilisateur ne supporte generalement qu'une application locale, a savoir 
l'application principale telephonique. Cependant, la seconde situation peut egalement 6tre 
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Ainsi, selon l'invention, dans le cas particulier d'un systeme de 
radiocommunication cellulaire, chaque carte utilisateur peut gerer de facon securisee et 
independante toutes ou certaines des applications qu'il supporte. 

Dans un mode de realisation avantageux de Tinvention, ledit systeme etant du 
type comprenant en outre au moins un centre de service de messages, 

lesdits moyens de memorisation de donnees d'one carte utilisateur servant de 
support a au moins une application locale et au moins une application distante de ladite 
carte utilisateur, les commandes etant dites locales, lorsqu'elles appartiennent a ladite 
application locale, ou distantes, lorsqu'elles appartiennent a ladite application distante, 

chaque terminal pouvant recevoir des messages, de type normal ou ameliore, emis 
par ledit centre de service de messages, chaque carte utilisateur comprenant des moyens 
de stockage et de traitement des messages recus par le terminal avec lequel elle coopere, 

les messages normaux contenant des donnees brutes constituant une information 
destinee a etre fournie a l'abonnd via notamment un ecran d'affichage du terminal, les 
messages ameliores contenant des commandes distantes, 

ledit systeme est caractense' en ce que lesdits moyens de memorisation de donnees 
de chaque carte utilisateur stockent egalement une liste d'applications distantes autorisees, 

et en ce que chaque carte utilisateur comprend egalement des moyens de 
discrimination des messages ameliores, permettant de bioquer chaque message ameTiore 
qui contient des commandes distantes n'appartenant pas a une desdites applications 
distantes autorisees. 

Ainsi, la carte utilisateur detecte si replication distante emettrice du message 
ameliore est autorisee a acceder a cette carte utilisateur. Cette operation de discrimination 
constitue un niveau de security supplementaire pour l'acces des commandes a la memoire 
de donnees de la carte utilisateur. 

Les messages normaux ou ameliores sont par exemple des messages courts, selon 
le vocabulaire GSM. 

De facon preferentielle, lesdits moyens de memorisation de donnees de chaque 
carte utilisateur stockent egalement, pour chacune desdites applications distantes 
autorisees, une reference secrete et un mode d'authentification de message associes, 
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et chaque carte utilisateur comprend egalement des moyens d'authentification des 
messages ameliores discrimines, permettant d'authentifier un message ameliore 
discrimine en utilisant la reference secrete et le mode d'authentification de message 
associes, dans lesdits moyens de memorisation de donnees, a 1' application distante 
autorisee a laquelle appartiennent les commandes contenues dans ledit message ameliore 
discrimine. 

En d'autres termes, la carte utilisateur authentifie chaque message ameliore 
discrimine selon le mode d'authentification et la reference secrete associes a 1'application 
emettrice de ce message. Cette operation d'authentification consume encore un autre 
niveau de securite supplementaire pour V acces des commandes k la memoirc de donnees 
de la carte utilisateur. 

Avantageusement, pour chaque objet, la ou au moins une des autres politiques de 
contrdle d'acces, dite seconde politique de controle d'acces, est ddfinie parun jeu d'au 
moins une condition d'acces alternative particuliere, chaque condition d'acces alternative 
particuliere pouvant prendre notamment les valeurs suivantes : 

"aucun acces" : si ledit objet n'est accessible par aucune commande dudit 
groupe d'au moins une commande auquel s'applique ladite condition 
d'acces alternative particuliere ; 

"acces prive" : si ledit objet n'est accessible que par les commandes 
appartenant a une unique application prfid&erminee, parmi ledit groupe 
d'au moins une commande auquel s'applique ladite condition d'acces 
alternative particuliere ; 

"acces partage" : si ledit objet est accessible par les commandes 
appartenant a au moins deux applications pr6determinees, parmi ledit 
groupe d'au moins une commande auquel s'applique ladite condition 
d'acces alternative particuliere. 
Dans un mode de realisation particulier de 1' invention, pour chaque objet, au 
moins une autre politique de contrdie d'acces, dite politique de contrdle d'acces a 
distance, est d6finie par un jeu d'au moins une condition d'acces a distance, chaque 
condition d'acces a distance s'appliquant, pour ledit objet, k un groupe d'au moins une 
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commande distante appartenant a la ou aux applications distantes utilisant ladite politique 
de controle d'acces a distance, 

et pour chaque objet,.seuls les indicateurs de politique de controle d'acces 
associes chacun a une des applications distantes peuvent indiquer ladite politique de 
controle d'acces a distance. 

Dans ce mode de realisation paiticulier, chaque objet peut voir son acces autoris6 
ou interdit a chaque application distante, a condition bien sur que la politique de controle 
d'acces a distance soit celle devant effectivement etre utilisee avec cette application 
distante. 

Pour chaque objet, on peut prevoir : 

soit une politique de controle d'acces a distance distincte pour chaque 
application distante ; 

soit une meme politique de controle d'acces a distance pour au moins 
certaines des applications distantes (ou bien pour toutes). 
II est a noter que si, raise a part la premiere politique de contrSle d'acces, 1' unique 
ou toutes les autres politiques de contrdle d'acces sont des politiques de contrite d'acces 
a distance, alors la premiere politique de controle d'acces doit obligatoirement 6tre utilisee 
avec la ou les applications locales. 

De facon avantageuse, pour chaque objet, chaque condition d'acces a distance 
peut prendre les memes valeurs que lesdites conditions d'acces alternatives particulieres. 

Ainsi, il est possible de realiser une partition de la memoire de donnees de la carte 
utilisateur entre les differentes applications distantes. En effet, certains objets peuvent etre 
rendus accessibles : 

soit ("aucun acces") par aucune commande distante, quelle que soit 
rapplication distante a laquelle cette commande distante appartient ; 
soft ("acces prive"") seulement par toutes ou certaines des commandes 
appartenant a une unique application distante, dite parente de cet objet ; 
soit ("acces partagd") par toutes ou certaines des commandes appartenant a 
certaines applications distantes bien determinees. 
De cette facon, tous les objets a acces prive lies a une meme application distante 
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parente constituent une zone securisee et etanche, propre a cette application parente et 
inaccessible aux autres applications. Le fournisseur d'une application distante donnee est 
ainsi assure que d'autres applications distantes que la sienne ne peuvent pas acceder a la 
zone securisee qui lui est allouee. 

Dans un mode de realisation avantageux de 1'invention, dans lequel lesdits 
moyens de memorisation de donnees de chaque carte utilisateur sont du type possedant 
une structure hierarchique a au moins trois niveaux et comprenant an moins les trois types 
de fichiers suivants : 

fichier maitre, ou repertoire principal ; 

fichier specialise^ ou repertoire secondaire plac6 sous ledit ficbiermaitre ; 
fichier el6mentaire, place" sous un desdits fichiers specialises, dit fichier 
specialise parent, ou directement sous ledit fichier maitre. dit fichier maitre 

ledit systeme est caracterise en ce que lesdits moyens de memorisation de donnees 
de chaque carte utilisateur comprennent au moins un fichier elementaire systeme, chaque 
fichier elementaire systeme etant lie" a une application distante autorisee et stockant une 
premiere information de localisation de la reference secrete et du mode d' authentication 
de message associes a cette application distante autorisee a laquelle il est lie. 

et en ce que chaque message ameliorS comprend une seconde information de 
localisation du fichier el6mentaire systeme auquel est liee I'application distante autorisee a 
laquelle appartiennent les coramandes contenues dans ledit message amfilionS, 

lesdits moyens d'authentification lisant dans chaque message ameTiore dlscrinune 
ladite seconde information de localisation du fichier elementaire systeme, de facon a lire 
dans le fichier elementaire systeme ladite premiere information de localisation de la 
reference secrete et du mode d'authentification de message a utiliser pour authentifier ledit 
message ameliore' discrimine\ 

Ainsi, chaque fichier 616mentaire systeme contient des informations permettant de 
retrouver les elements necessaire a foperation d'authentification d'un message emis par 
1'appUcation distante a laquelle est lie ce fichier elementaire systeme. De son cote, chaque 
message comporte (dans son en-tete) des informations permettant de retouver le fichier 
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elementaire systeme auquel son application emettrice est liee, de facon que son 
authentification puisse £tre effectuee. 

Avantageusement, chaque fichier elementaire systeme est place sous un fichier 
specialise ou directement sous le fichier maitre, un fichier elementaire systeme au 
5 maximum pouvant etre place sous chaque fichier specialist et un fichier elementaire 

systeme au maximum pouvant etre place" directement sous le fichier maitre. 

De facon prefdrentielle, si aucun fichier elementaire systeme n'existe sous un 
fichier specialise, ni sous le fichier maitre, alors chaque fichier elementaire place" sous 
ledit fichier specialise, quelle que soil la valeur des conditions d'acces a distance 
10 associees a ce fichier elementaire, n'est accessible par aucune commande distanie, 

et si aucun fichier elfimentaire systeme n'existe directement sous le fichier maitre, 
alors chaque fichier elementaire place" directement sous le fichier maitre, quelle que soit la 
valeur des conditions d'acces a distance associees a ce fichier elementaire, n'est 
accessible par aucune commande distante. 
1 5 Ceci signifie que pour 6tre accessible par une commande distante, un fichier doit 

etre plac6 sous un fichier specialist ou directement sous un fichier maitre auquel se 
rapporte un fichier el6mentaire systeme. Ce qu'on entend ici par "se rapporte" est precise" 
par la suite. 

Preferentiellement, ladite seconde information de localisation du fichier 
20 elementaire systeme est un identificateur d'un fichier specialise ou d'un fichier maitre 

auquel se rapporte ledit fichier elementaire systeme selon une strategic de recherche 
pr6determinee dans les moyens de ra6morisation de donnees. 

Avantageusement, ladite strategie de recherche prfSdeterminee dans les moyens de 
memorisation de donnees est un mecanisme de recherche en amont (du type 
25 "backtracking"), consistant a rechercher si un fichier 61ementaire systeme existe sous le 

fichier specialise ou le fichier maitre indique par ledit identificateur, et, dans la negative et 
si ridentificateur n'indique pas le fichier maitre, a rechercher si un fichier elementaire 
systeme existe directement sous le fichier mame. 

Ainsi, l'expression "se rapporte'' utilisee precedemment correspond par exemple a 
30 une recherche de type "backtracking". 
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Dans un mode de realisation avantageux de l'invention, dans le cas d'un fichier 
dont une des conditions d'acces a distance possede la valeur "acces prive", ladite unique 
application distante predfiterminee dont les commandes distantes peuvent acceder audit 
fichier est, sous reserve que son authentification soit reussie, l'application distante 
5 autorisee parente dudit fichier, c*est-a-dire l'application distante autorisee liee au meme 

fichier elementaire systeme que celui auquel se rapporte le fichier specialise parent ou le 
fichier maitre parent dudit fichier, 

et, dans le cas d'un fichier dont la condition d'acces a distance possede la valeur 
"acces partage", lesdites au moins deux applications distantes precleterminees dont les 
10 commandes distantes peuvent acctder audit fichier sont, sous reserve que leur 

authentification soit reussie, toutes les applications distantes autorisees, quel que soit le 
fichier elementaire systeme auquel chacune d'eDes est liee. 

Ainsi, une application parente liee a un fichier elementaire systeme donne a 
comme fichiers enfants tous les fichiers dont le fichier specialist parent ou le fichier 
15 maitre parent (c'est-a-dire le fichier specialist ou le fichier mattre sous lequel ils sont 

directement places) se rapporte a ce fichier eltmentaire systeme donne. 

L'ensemble des fichiers enfants d'une application parente constitue un 
regroupement logique de fichiers, egalement appele domaine de securite propre a cette 
application. Dans le cas d'un acces distant autorise du type "privt", c'est ce domaine de 
20 securite qui delimite la zone securisee specifique a l'application btneficiant de ce droit 

privatif. 

En d'autres termes, le domaine de securite consiste pour partie a regrouper 
iogiquement les fichiers en fraction de leur lien de dependance parent/enfant avec une 
application. Cnaque application possede son domaine de securite. Cela consiste en fait a 
25 donner une definition des objets du domaine de securite de l'application. Le 

regroupement logique des fichiers peut done £tre appele" domaine de securite" de 
rapplication, ou encore domaine de validity du schema securitaire de l'application. 

De facon avantageuse, chaque fichier elementaire systeme comprend un ensemble 
distinct d'indicateurs de politique de controle d'acces, chaque indicateur de politique de 
30 controle d'acces indiquant, pour une desdites applications, quelle politique de controle 
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d'acces, a savoir premiere ou autre, utiliser avec cette application, 

ledit ensemble distinct d'.indicateurs de politique de controle d'acces etant associe 
a tous Ies fichiers dont le fichier specialise parent ou le fichier maitre parent se rapporte 
audit fichier elementaire systeme. 

L'invention conceme egalement une carte utihsateur a microprocesseur du type 
destine a cooperer avec un terminal de facon a constituer un equipement terminal d'un 
systeme de communication tel que precis, 

caracterisee en ce que chaque objet des moyens de memorisation de donnees de 
ladite carte utilisateur est egalement associe a au moins une autre politique de controle 
d'acces, chaque autre politique de controle d'acces etant definie par un jeu d'au mains 
une condition d'acces alternative, chaque condition d'acces alternative d'une autre 
politique de controle d'acces donnee s'appliquant, pour ledit objet, a un groupe d'au 
moins une commande appartenant a la ou aux applications utilisant ladite autre politique 
de controle d'acces donnee, 

et en ce que chaque objet est egalement associe a une plurality d'indicateurs de 
politique de contr61e d'acces, chaque indicateur de politique de contrSle d'acces 
indiquant, pour une desdites applications, quelle politique de controle d'acces, a savoir 
premiere ou autre, utiliser avec cette application, lesdits indicateurs de politique de 
controle d'acces etant stockes dans les moyens de memorisation de donnees de ladite 
carte utilisateur. 

L'invention conceme aussi un proce*d£ de gestion securisee et independante d'au 
moins deux applications distantes, par une carte utilisateur a microprocesseur du type 
destine a cooperer avec un terminal de fapon a constituer un equipement terminal d'un 
systeme de communication tel que precite, 

caracterise en ce que. pour chaque message ameTiore recu, ladite carte utilisateur 
effectue notamment I'etape suivante : pour chaque commande distante contenue dans ledit 
message am61iore, verification de I'accessibilite de cette commande distante a l'objet 
concerne, ladite verification de l'accessibilte s'appuyant sur une politique de controle 
d'acces, premiere ou a distance, a utiliser pour ledit objet concerne avec ladite application 
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Avantageusement, pour chaque message ameliore recu, ladite carte utiUsateur 
effectue egalement une &ape prealable de discrimination dudit message ameliore, de fason 
a ne poursuivre son traitement; que si 1'applicaiion distante, dite application distante 
courante, a laquelle appartiennent les commandes distantes qu'il contient est une 
application distante autorisee. 

De facon avantageuse, pour chaque message ameliore recu, ladite carte utilisateur 
effectue egalement une £tape prealable d'authentification dudit message ameliore, en 
utilisant une reference secrete et un mode d'authentification de message associes a ladite 
application distante courante. 

Avantageusement, au moins certains des elements appartenant au groupe suivant 
peuvent Stre crees et/ou mis a jour et/ou supprimes par rinterme'diaire de commandes 
distantes : 

les valeurs des conditions d'acces, notamment premieres ou a distance, 
des politiques de controle d'acces associees a chaque objet ; 
l'indicateur de politique de controle d'acces, notamment premiere ou a 
distance, a utiliser avec chaque application pour chaque objet ; 
la liste des applications distantes autorisees ; 

pour chacune des applications distantes autorisees de ladite liste, la 
reference secrete et le mode d'authentificaUon de message associes ; 
le ou lesdits fichiers elementaires systeme lies chacun a une application 
distante autorisee distincte ; 
les fichiers etementaircs, specialise et maitre. 
Ainsi, la securisation d'acces aux objets selon l'invention peut etre adaptee, par 
mise a jour ou reconfiguration, a revolution des besoins de chaque application. 

De plus, des applications (par exemple distantes) entieremcnt nouvelles peuvent 
etre ajoutees et supportees par la memoire de donnees de la carte memoire. Ces nouvelles 
applications (distantes) peuvent beneTicier, de la meme facon que les applications 
(distantes) prevues a Y origine, d'une security d'acces propre (avec par exemple un mode 
d'authentification, une reference secrete et un schema securitaire specifiques). 

D'autres caracterisuques et avantages de l'invention apparanront a la lecture de la 
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description suivante d'un mode de realisation preTerentiel de l'invention, donne a titre 
d'exemple indicatif et non limitatif, et des dessins annexes, dans lesquels : 

la figure 1 presente un schema synoptique simplifie d'un mode de 
realisation parrjculier d'un systeme de radiocommunication cellulaire selon 
5 l'invention ; 

la figure 2 presente la structure d'un mode de realisation particulier d'un 
message court amelionS selon l'invention recu par le module SIM de la 
figure 1 ; 

la figure 3A presente de facon schematique un mode de realisation 
I o particulier d' un fichier de la memoire de donnees de la figure 1 , avec ses 

polttiques de controle d'acces et ses indicateurs associds ; 

la figure 3B presente un exemple d'une pluralite d'indicateurs tels 

qu' associes a un fichier comme presente sur la figure 3A ; 

la figure 4 presente un premier exemple de partition de la memoire de 
15 donnees de la figure 1 entrc plusieurs applications ; 

la figure 5 presente un organigramme simplifie" d' un mode de realisation 

particulier du traitement par le module SIM de la figure 1 d'un message 

court ameiiore' ; 

les figures 6 et 7 permettent d'expliciter les Stapes de filtrage d'application 
20 etd' authentication de message apparaissant sur la figure 5; 

les figures 8 et 9 permettent d'expliciter l'6tape de securisation de 
l'execution d'une commande apparaissant sur la figure 5 ; 
la figure 10 presente un second exemple de partition de la memoire de 
donnees de la figure 1 entre plusieurs applications. 
25 Dans le mode de realisation particulier decrit ci-dessous, uniquement a titre 

d'exemple, le systeme de communication est un systeme de radiocommunication 
cellulaire du type GSM. II est clair toutefois que l'invention n'est pas Iimitee a ce type 
particulier de systeme de communication, mats concerne plus gdneralement tous les 
systemes de communication comprenant une pluralite d'equipements terminaux constitues 
30 chacun d'un terminal cooperant avec une carte utilisateur a microprocesseur. 
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Dans un souci de simplification, surla Figure 1, on a represent uniquement une 
station mobile (MS) 1 reliee, via un reseau 2. a un centre de service de messages courts 
(SMS-C) 3. En r6alite, le systeme comprend une plurality de stations mobiles I, 
constitutes chacune d'un terminal (ME) 4 coop6rant avec un module d' identification 
d'abonne (module SIM) 5. 

Chaque module SIM 5 comprend notamment. de facon classique : 

des moyens 6 d'execution de commandes, constitufis generalement d'un 
microprocesseur ; 

une memoire programme 7, stockant 1'application GSM (ou plus 
generalement 1'application principale telephonique) et eventuellement 
d'autres applications locales. Cette memoire programme 7 est par exemple 
une memoire ROM ; 

une memoire de donnees 8, servant de support a toutes les applications, 
locales ou distantes, que le module SIM peut executer. En d'autres 
termes, elle stocke toutes les donnees auxquelles les applications 
supportees doivent pouvoir acceder lors de leur execution. Par exemple, 
elle stocke toutes les informations individuelles de l'abonne (telles que 
notamment son numero international d'abonne (identifiant 1MSI), sa cle 
d'authentification individueile (Ki) et ralgorithme d'authentification (A3)) 
necessaires a i'execution de 1'application GSM. Cette memoire de donnees 
8 est par exemple une memoire EEPROM ; 

des moyens 9 de stockage et traitement des messages courts recus. En 
effet, chaque message court recu par le terminal 4 est transmis au module 
SIM 5 pour traitement par 1'application GSM. 
Le SMS-C 3 met en oeuvre un service de messages courts ameTiore (ESMS) qui 

pennet d*envoyer deux types de messages courts a 1'ensemble des stations mobiles I, a 

savoir: 

des messages courts "normaux", qui transportent uniquement des donnees 
brutes. Les donnees brutes d'un message court normal correspondent a 
une information a afficher sur un ecran du terminal 4, par exemple pour 
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inviter I'abonne a rappeler un numero donn£ ; 

des messages courts "am61ioreY\ qui transportent des commandes 
appartenant a des applications dites distantes (ou OTA), du fait que les 
commandes (egalement dites distantes) qui les constituent ne sont pas 
stockees dans la memoire programme 7 du module SIM. 
La figure 2 presente la structure d'un mode de realisation particulier d'un message 
court ameliore selon 1'invention recu par le module SIM 5. Ce message court ameliore 20 
comprend un en-tete SMS 21 (SMS Header en langue anglaise) et un corps 22 (TP-UD, 
pour 'Transfer layer Protocol - User Data" en langue anglaise). Les commandes distantes 
Cmdl, Cmd2. etc sont placees dans le corps 22. H s'agit par exemple de commandes 
classiques (operationnelles ou administratives), (tefinies dans les normes GSM 11.11, 
ISO 78.16-4 ou encore EN 726-3, telles que SELECT, UPDATE BINARY, UPDATE 
RECORD. SEEK, CREATE FILE, CREATE RECORD, EXTEND, etc. Les autres 
champs concemes par la presente invention sont presentes en d6tail dans la suite de la 
description. 

La memoire de donnees 8 comprend une plurality de fichiers. De facon classique, 
et comme specific dans la norme GSM 11.11, chacun de ces fichiers est associe a une 
politique de controle d'acces standard. Celle-ci est d6finie par une plurality de conditions 
d'acces standard (Standard AC) s'appliquant chacune a une commande distincte 
susceptible d'acceder a ce fichier. Chaque condition d'acces standard peut prendre 
differentes valeurs (par exemple "ALWays", "CHV1", "CHV2" ou encore "NEVer"). 
Aucune de ces valeurs n'est fonction de I'application a laquelle appartient la commande 
qui desire acceder au fichier. 

Le principe general de 1'invention consiste a associer 6galement a chaque fichier 
de la mfimoire de donnees 8 : 

au moins une autre politique de controle d'acces, chaque autre politique de 
controle d'acces etant d6finie par un jeu d'au moins une condition d'acces 
alternative, chaque condition d'acces alternative d'une autre politique de 
contr61e d'acces donnee s'appliquant, pour ce fichier, a un groupe d'au 
moins une commande appartenant a la ou aux applications utilisant cette 
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autre politique de controle d'acces ; et 

pour chacune des applications supportees, un indicateur de politique de 
controle d'acces, indiquant quelle politique de controle d'acces, a savoir 
standard ou autre, utiliser avec cette application. 
Dans un souci de simplification, dans l 1 exemple presente dans la suite de la 
description, les applications ne possedent pas chacune, pour chaque fichier, une autre 
politique de contrdle d'acces qui leur est propre (avec leur propre jeu de conditions 
d'acces alternatives) mais se partagent toutes, et de facon complete (c'est-a-dire pour 
toutes lcurs commandes sans distinction), deux autres politiques de controles d'acces 
communes (avec chacune une unique condition d'acces qui s'applique pour toutes les 
commandes). 

La figure 3A presente de facon schematique un mode de realisation particulier 
d'un fichier 30 de la memoire de donnees 8, avec ses politiques de controle d'acces 3 1 et 
ses indicateurs associes 32. Le tableau de l'annexe I presente un exemple d'une pluralite 
de politiques de controle d'acces telles qu'associees a ce fichier 30. La figure 3B presente 
un exemple d'une pluralite d'indicateurs 32 tels qu'associes au fichier 30. 

Dans 1* exemple suivant de caracteristiques associces a un fichier 30, decrit en 
relation avec la figure 3B et le tableau de l'annexe I , on considere que : 

le module SIM supporte l'application GSM (unique application locale) et 
trois applications distantes (appli. disL 1, appli. dist i' et appli. dist. 1") 

il exists une politique de contrdle d' acces standard (PCA standard) et deux 
politiques de controle d'acces a distance (PCA a distance n°l et PCA a 
distance n°2). 

Comme presente sur le tableau de l'annexe 1 , dans la politique de controle d'acces 
standard, chaque commande (distante ou locale), quelle que soit l'application a laquelle 
elle appartient (application GSM ou l'une des applications distantes), est associee a une 
condition d'acces standard specifique (cond. d'acces std 1, cond. d'acces std 2, ...). De 
facon classique, chaque condition d'acces standard possede une valeur appattenant au 
groups comprenant : "ALWAYS" (acces toujours autoris6), "CHV1" ou "CHV2" (acces 
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autorise apres verification du possesseur du module SIM) et "NEVER" (acces jamais 
autoris£). 

Dans la politique de controle d'acces a distance n°l, toutes les commandes 
distantes (dans un souci de simplification), quelle que soil l'application a laquelle elles 
5 appartiennent, sont associees a une meme condition d'acces a distance (egalement dans 

un souci de simplification) (cond. d'acces a dist. 1). Cette condition d'acces a distance 
peut par exemple prendre 1'une des trois valeurs suivantes : "PARTAGE", "PRIVE" et 
"JAMAIS". Ainsi, dans cet exemple, elle possede la valeur "PARTAGE'. 
On explique maintenant le sens de chacune de ces trois valeurs : 
10 - "JAMAIS" (ou "aucun acces") signifie que le fichier 30 n'est accessible 

par aucune commande, quelle que soit l'application a laquelle appartient 
cette commande; 

"PRIVE" (ou "acces prive") signifie que le fichier 30 n'est accessible que 
par les commandes appartenant a une unique application predeterminee ; 
15 . "PARTAGE"(ou"accfespaiiag6") signifie que le fichier 30 est accessible 

par les commandes appartenant a au moins deux applications 
predetenninees. 

On notera que les trois valeurs 'PARTAGE", *PRTVE" et "JAMAIS" sont encore 
discutees dans la suite de la description, en relation avec les figures 9 a 1 1. 

20 Dans la politique de controle d'acces a distance n°2, toutes les commandes 

distantes, quelle que soit l'application a laquelle elles appartiennent, sont associees a une 
meme condition d'acces a distance (cond. d'acces a dist. 2). Cette condition d'acces a 
distance peut par exemple prendre une valeur X parmi un autre groupe de valeurs (X, Y, 
Z, .„) que celui precite" (et comprenant les valeurs "PARTAGE", "PRIVE" et 

25 "JAMAIS"). 

Comme presents sur la figure 3B, pour chacune des applications supportees 
(appli. GSM, appli. dist. 1, appli. dist 1' et appli. dist. 1") , un indicateur de politique 
de controle d'acces precise quelle politique de controle d'acces utiliser avec cette 
application (a savoir PCA standard, PCA a distance n°l ou PCA a distance n°2). 

30 Ainsi, on peut obtenir une partition de la memoire de donnees 8 (et plus 
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precisement de l'ensemble des fichiers utilisant une meme politique de controle d'acces a 
distance) en fonction des differentes applications distantes suppportees par cette memoire 
de donnees. 

Dans l'exemple presente" sur la figure 4. tous les fichiers de la memoire de 
donnees utilisent la politique de controle d'acces a distance n°l. Ainsi, vu de l'exterieur 
(c'est-a-dire pour les applications distantes), la memoire de donnees apparait partagee 
entre une application locale et trois applications distantes (Fidelite, Paiement et GSM). On 
notera que, dans cet exemple. l'apphcation app61ee GSM n'est pas locale mais distante. 

La memoire de donnees 8 possede, dans le mode de realisation presente a titre 
d'exemple, une structure hidrarchique a trois niveaux et comprend les trois types de 
fichiers suivants : 

un fichier maitre (MF), ou repertoire principal ; 

une pluralite de fichiers specialise* (DF, DF R <teii t *. DFpaiemepi, DFgsm. 
DFriiicom). qui sont ^ repertoires secondares places sous le fichier 

une pluralite de fichiers elementaires (EF), places chacun soit sous un des 
fichiers specialises (dit alors fichier specialise parent) soit directement 
sous le fichier maitre (dit alors fichier maitre parent). 
On distingue huh groupes de fichiers, a savoir : 

groupe A : les fichiers uniquement accessibles par les commandes de 
l'application distante Fidelite\ c'est-a-dire les fichiers dont la condition 
d'acces a distance est "PRIVE" pour l'application Fidelite ; 
groupe B : les fichiers uniquement accessibles par les commandes de 
l'application distante Paiement ; 

groupe C : les fichiers accessibles par les commandes des applications 
distantes Fidelite et Paiement, c'est-a-dire les fichiers dont la condition 
d'acces a distance est "PARTAGE" pour les applications Fidelite et 
Paiement ; 

groupe D : les fichiers uniquement accessibles par les commandes de 
1' application distante Telecom ; 
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groupc E : les fichiers accessibles par les commandes des applications 
distantes Telecom et Fidelhe ; 

groupe F : les fichiers accessibles par les commandes des applications 
distantes Paiement et Fidelite ; 

groupe G : les fichiers accessibles par les commandes des applications 
distantes Telecom, Paiement et Fidelite* ; 

groupe H : les fichiers accessibles par les commandes d'aucune 
application distante, c'est-a-dire les fichiers dont la condition d'acces a 
distance est "JAMAIS". 

II est a noter que les fichiers du groupe H restent accessibles aux commandes de 
1' application locale (sous reserve que les conditions d'acces standard correspondantes 
soient verifiees). De m|me, les fichiers du groupe H seraient accessibles aux commandes 
d' applications distantes qui utiliseraient la politique de contrSle d'acces standard et non 
pas la politique de contrdle d'acces a distance (sous reserve la encore que les conditions 
d'acces standard correspondantes soient verifiees). 

On presente maintenant, en relation avec l*organigramme de la figure 5, un mode 
de realisation particulier du precede de traitement par le module SIM d'un message court 
ameliore\ Pour cbaque message court ameliord recu, le module SIM effectue notamment 
les etapes suivantes : 

il determine (5 1 ) si le message court recu (egalement appele" signal OTA) est un 

message court ameliore" (et contient done des commandes appartenant a une 

application distante) ou un message court normal ; 

il poursuit (52) le traitement s'il s'agit d'un message court ameliore, et 
1'inteirompt (53) dans le cas contraire ; 

il determine (54) si 1" application distante einettrice du message (c'est-a-dire 
I* application dont des commandes sont contenues dans le message) est une 
application distante autorisee (etape 54 de discrimination d' application) ; 
il poursuit (55) le traitement s'il s'agit d'une application distante autorisee, et 
rinterrompt (56) dans le cas contraire ; 

il venfie (57) l'authenticite du message en utilisant une reference secrete et un 
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mode d'authentification de message associes a 1'application distante emettrice du 
message (etape 57 d'authentification de message) ; 

il poursuit (58) le traitement s'il 1' authentification est correcte, et l'interrompt (59) 
dans le cas contraire ; 

pour chaque commande distante contenue dans le message : 

* il interprete (510) chaque commande distante (egalement appelee 
operation) contenue dans le message ; 

* il verifie (511) Inaccessibility de cette commande distante au fichier 
concerne (egalement appele" champ de donnees), en fonction de la 
politique de controle d'acces, standard ou a distance, a utiliser pour le 
fichier concerne avec Papplication distante emettrice du message (6tape 
51 1 de securisation de I'execution d'une commande) ; 

* il poursuit (512) le traitement si la commande distante peut acceder au 
fichier, et passe (513) dans le cas contraire a' r etape 5 15 d'etablissement 
d'un compte-rendu ; 

* il execute (5 14) la commande ; et 

il etablit (5 1 5) un compte-rendu d'execution. 

Les figures 6, 7 et 8 permettent d'expliciter les Stapes de discrimination 
d'application 54 et d'authentification de message 57. 

Comme present^ sur la figure 6, un fichier 60 de la memoire de donnees 8 stocke 
une liste d' applications distantes autorisees. Ce fichier 60, appele fichier elementaire 
d'entree (ou encore EF SMS Log), contient par exemple les adresses (TP-OA 1 a TP-OA 
n) de cbacun des foumisseurs d'application distante autorisee. Ces adresses sont appelees 
adresses TP-OA, pour "TP-Originating-Addresses" en langue anglaise. Par ailleurs, 
chaque message court ameliorc comprend dans son en-t6te (cf figure 2) un champ 'TP- 
OA". 

Ainsi, lors de V&ape 54 de discrimination d'application 54, le module SIM 
identifie l'application distante emettrice du message en s'assurant que radresse TP-OA du 
message est identique a Tune des adresses TP-OA du fichier elementaire d'entree 60. 

La figure 6 illustre egalement le fait que, pour chaque adresse TP-OA (c'est-a-dire 



WO 97/44762 



PCTVFR97/00871 



25 

chaque application distante autorisee) du fichier elementaire d'entree 60, le module SIM a 
la possibility d'acctSder, dans la memoire de donnees 8, a un ensemble 61 a 63 de trois 
parametres : une reference secrete (Kappli), un mode d'authentification de message 
(algo_id) et un schema securitaire. 

Ainsi, comme illustre sur la figure 7, pour effectuer l'&ape 57 d'authentification 
de message, le module SIM utilise la reference secrete (Kappli) et le mode 
d'authentification de message (algo_id) qui sont associes a Tapplication emettrice du 
message et qu'il a prealablement retrouves dans la memoire de donnees 8. A partir de ces 
deux parametres (Kappli et algo_id) et des donnees du corp du message, le module SIM 
calcule par exemple un cryptogramme qui doit etre identique a un cryptogramme (SMS- 
Cert) contenu dans le corp du message (cf figure 2) pour que l'authentification du 
message soil reussie. 

La figure 8 permet d'expliciter 1'etape 51 1 de securisation de l'execution d'une 
commande. Chaque commande (ou operation) d'un message est effectivement executee 
seulement si, d'apres 1'etat courant de securite" du module SIM ainsi que les informations 
et les attributs de security lies a replication distante 6mettrice du message, cette 
commande est autorisee a acceder aux fichiers sur lesquels elle travaille. Ceci correspond 
au schema securitaire de Papplication distante. 

Dans la suite de la description, on presente un mode de realisation particulier de 
1'invention, dans lequel chaque application distante autorisee est associee a un fichier 
elementaire systeme (EF SMS System) de la memoire de donnees 8. 

Chaque fichier dlementaire systeme stocke une premiere information permettant de 
iocaliser dans la memoire de donnees 8 un couple (reference secrete Kappli, mode 
d'authentification de message algo_id), ce couple 6tant associe a F application distante 
autorisee a laquelle est li6 ce fichier elementaire systeme. 

Dans le present mode de realisation, cette premiere information de localisation 
d'un couple (Kappli, algo_id) est un identificateur d'un fichier specialise sous lequel se 
trouve le fichier EF key_op contenant ce couple. Le fichier EF key_op peut stocker lui- 
meme le mode d'authentification de message ou bien seulement un pointeur algo_id 
indiquant le lieu de stockage de ce mode d'authentificauon de message. 
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Par ailleurs, chaque message court amEliore comprend une seconde information 
de localisation du fichier elementaire systeme auquel est liee rapplication distante 
autorisee emettrice du message.court ameliore. 

Comme presente sur la figure 2, dans le prEsent mode de realisation, cette 
5 seconde information de localisation d'un fichier elementaire systeme est un identificateur 

"DF entree" (ou Login DF en langue anglaise) d'un fichier specialise" ou d'un fichier 
maitre auquel se rapporte. selon une strategic de recherche predEterminee dans les 
moyens de memorisation de donnees, ce fichier Elementaire systeme. 

Le module SIM met par exemple en oeuvre un mdcanisme de recherche en amont 
10 (du type "backtracking"), consistant : 

a rechercher un fichier ElEmentaire systeme tout d'abord sous le fichier 
specialise ou le fichier maitre courant (c'est-a-dire celui indique par 
l'identificateur "DF entree"), 

puis, si aucun fichier elementaire systeme n'existe sous le fichier 
15 specialist ou le fichier maitre courant et si l'identificateur "DF entree" 

n'indique pas le fichier maitre, a rechercher un fichier elementaire systeme 
directement sous le fichier maitre. 
Ainsi, le module SIM lit dans chaque message court amEliorE filtre' l'identificateur 
DF Id. A partir de cet identificateur "DF entree", il retrouve le fichier elementaire systeme 
20 auquel est liee I' application distante autorisee Emettrice du message. Le module SIM lit 

dans ce fichier ElEmentaire systeme l'identificateur du fichier specialise sous lequel se 
trouve le fichier EF key_op. Dans ce fichier EF key_op, il lit le couple (Kappli, algo_id), 
de facon a connaitre la reference secrete et le mode d'authentification de message a utiliser 
pour authentiQer le message court aineliore filtrE. 
25 Un fichier Elementaire systeme au maximum peut etre placE sous un fichier 

specialise. De meme, un fichier Elementaire systeme au maximum peut etre place 
directement sous le fichier maitre. 

Si aucun fichier Elementaire systeme n'existe sous un fichier specialise, ni sous le 
fichier maitre, les EF placEs sous ce fichier spEcialisE, quelle que soit la valeur de la 
30 condition d'acces a distance associee a chacun de ces fichiers EIEmentaires, ne sont 
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accessibles par aucune commande distante. 

De meme, si aucun fichier elementaire systeme n'existe directement ni sous le 
fichier maitre, alors lcs fichiers; elementaires places directement sous le fichier maitre, 
quelle que soit la valeur de la condition d* acces a distance associee a chacun de ces 
fichiers elementaires. ne sont accessibles par aucune commande distante. 

Dans le cas d'un fichier dont la condition d'acces a distance possede la valeur 
"PRIVE" ("acces privd"), l'unique application distante dont les commandes distantes 
peuvent acceder a ce fichier est, sous reserve que son authentification soit reussie, 
l'application distante autorisee liee au m£me fichier elementaire systeme que celui auquel 
se rapporte le fichier specialise ou fichier maitre parent de ce fichier. Cette application 
distante autorisee est dite parente de ce fichier. 

Dans le cas d'un fichier dont la condition d'acces a distance possede la valeur 
"PARTAGE" ("acces partage"), les applications distantes predeterminees dont les 
commandes distantes peuvent accfider a ce fichier sont, sous reserve que leur 
authentification soit reussie, toutes les applications distantes autorisees, quel que soit le 
fichier elementaire systeme auquel chacune d'elles est liee. 

La figure 9 presente un exemple de memoire de donnees 8 partagee entre deux 
applications distantes, a savoir : 

r application "DF1", dont I'EF SMS System 91 se rapporte au fichier 
specialise' DF1 ;et 

fapplication "MF", dont le fichier aementaire systeme 92 se rapporte au 
fichier maitre MF. 

On notera que les messages erais par l'application "DF1" component dans leur 
champ "DF entree" la valeur DF1, qui est le fichier specialise sous lequel se trouve le 
fichier £Iementaire systeme 91 de cette application "DF1". 

Par contre, les messages 6 mis par l'application "MF' component dans leur champ 
"DF entree" la valeur MF/DF2, et non pas la valeur MF. En fait, aucun fichier el6mentaire 
systeme ne se trouvant sous ce fichier specialise DF2, c'est bien sous le fichier maitre que 
le module SIM va chercher (mecanisme de "backtracking") le fichier elementaire systeme 
92 de cette application "MF". 
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Dans cet exemple, on distingue les quatre groupes de fichiers suivants : 

groupe A* : les fichiers (DF1, EF2) uniquement accessibles par les 
commandes de.rapplication distante "DF1", c'est-a-dire les fichiers dont 
la condition d'acces a distance est "PRIVE" pour I' application "DF1" ; 
groupe B ' : les fichiers (MF, DF2, EF5, EF7) uniquement accessibles par 
les commandes de 1'application distante "MF' ; 

groupe C : les fichiers (EF3, EF1 , EF6) accessibles par les commandes 
des applications distantes "DF1" et "MF*, c'est-a-dire les fichiers dont la 
condition d'acces a distance est "PARTAGE" pour les apphcations "DF1" 
et"MF*; 

groupe D* : les fichiers (EF4) accessibles par les commandes d'aucune 

application distante, c'est-a-dire les fichiers dont la condition d'acces a 

distance est "JAMAIS". 
II est important de souligner que la presente invention permet, par 1'interme'diaire 
de commandes distantes, de creer, mettre a jour ou encore supprimer certains elements 
evoques ci-dessus, tels que notamment : 

les valeurs des conditions d'acces, standard ou a distance, des politiques 

de controle d'acces associees a chaque fichier ; 

l'indicateur de la politique de controle d'acces, standard ou a distance, a 
utiliser avec chaque application pour chaque fichier ; 
la liste des applications distantes autorisees ; 

pour chacune des applications distantes autorisees, la reference secrete et 
le mode d'authentification de message associes ; 

les fichiers elementaires systemes EF SMS System lies chacun a une 

application distante autorisee distincte ; 

les fichiers el6mentaires EF, specialises DF et maitres MF. 
La figure 10 presente un second exemple de partition de la memoire de donnees 8. 
Dans ce second exemple, la memoire de donnees 8 est partagee entre quatre apphcations 
distantes, a savoir : 

1'application "MF*, dont le fichier elementaire systeme EF SMS System 0 
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presente une securite" activee, se rapporte au fichier maitre ; 
I' application "DF1", dont le fichier elementaire systeme EF SMS System 
1 presente une securite desactivee, se rapporte au fichier specialise DF1 ; 
1 'application "DF2", dont le fichier elementaire systeme EF SMS System 
5 2 presente une securite" activee, se rapporte au fichier specialise DF2 ; et 

l'application "DF4", dont le fichier elementaire systeme EF SMS System 
4 presente une securite" desactivee. se rapporte au fichier specialise DF4. 
On entend par securite activee, pour un fichier elementaire systeme, le fait que 
fmdicaieur de politique de controle d'acces contenu dans ce fichier elementaire systeme 
10 prevoit l'utihsation d'une politique de controle d'acces a distance. De meme, on entend 

par securite desactivee, pour un fichier elementaire systeme, le fait que rindicateur de 
politique de controle d'acces contenu dans ce fichier elementaire systeme prevoit 
I'utilisation de la politique de controle d'acces standard. 

II est a noter que le fichier specialise" DF3, ainsi que tous les fichiers places sous 
15 le fichier specialist DF3, ont pour application parente "MF" puisqu'il n'existe aucun 

fichier elementaire systeme sous le fichier specialise DF3. 

Chaque fichier elementaire est associe a une valeur de condition d'acces a distance 
("jamais", "prive", ou "partage"). 

Le tableau de 1'annexe 2 resume les differentes situations d'acces (acces autorise 
20 ou refuse) pour chaque fichier elementaire de la figure 10, en fonction du fichier 

specialise (ou fichier maitre) specific dans I'en-tete du message. 

Pour chaque fichier elementaire a acc6kr par la commande (premiere colonne), 
onaindique: 

la valeur de condition d* acces a distance associee a ce fichier (premiere 
25 colonne egalement) ; 

l'EF ESMS System auquel se rapporte le fichier a accdder (seconde 
colonne) ;et 

Tetat (active ou desactiv6) de la securite de cet EF ESMS System (seconde 
colonne egalement). 

30 Pour chaque fichier specialise (ou fichier maitre) specific dans l'en-tete du 
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message, on a uwiiqufi le fichier specialise (ou fichier maitre) parent du fichier elementaire 
systeme ou est effectuee I'authentification de message. On notera qu'aucune 
authentification de message n'est effectuee pour les fichiers specialises DF1 et DF4, dont 
les fichiers elementaires systemes (1 et 4 respectivement) presentent chacun une securite 
desactivee. 

Ce tableau montre clairement que : 

si un fichier elementaire systeme existe dans un fichier specialise, un fichier 
elementaire de ce fichier specialise dont la condition d'acces a distance est 
'TRIVET ne peut pas 6 tie accede a travels une commande distante contenue dans 
un message authentifie dans un autre fichier specialises ; 

si aucun fichier elementaire systeme n' existe dans un fichier specialise mais existe 
dans le fichier maitre, un fichier elementaire de ce fichier specialise" dont la 
condition d'acces a distance est "PRIVE" ne peut pas etre acc6de a travers une 
commande distante contenue dans un message authentifie dans un autre fichier 
specialise, different du fichier maitre et contenant lui-meme un fichier aementaire 
systeme ; 

si aucun fichier elementaire systeme n'existe dans un fichier specialise, ni dans le 

fichier maitre, aucun message ne peut etre authentifie sous ce fichier specialise el 

un fichier elementaire de ce fichier specialise, quelle que soit sa condition d' acces 

a distance, ne peut pas etre accede a travers une commande distante (en d'autres 

termes, si aucun fichier elementaire systeme n'est attache a un fichier, tout acces a 

distance - a travers une commande distante - est interdit) ; 

dans tous les cas, un fichier 61ementaire dont la condition d' acces a distance est 

"PARTAGE" peut etre accede a travers une commande distante contenue dans un 

message qui a ete authentifie. 

Ci-dessous, dans un but de simplification, on note : 

"LA" (pour "Login Appli" en langue anglaise) le fichier elementaire 
systeme qui se rapporte au fichier specialise DF specific dans l'en-tete du 
message, et 

"PA" (pour "Parent Appli" en langue anglaise) le fichier elementaire 
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systems qui se rapporte ao fichier a acc&ier. 
La securite peut alors, d'-une facon plus generate, etre enuerement et fonnellement 
decrite avec les sept regies suivantes : 

- R 1 . Si aucun fichier PA ne peut gtre trouve\ 

-> Alors l'acces a distance est interdiL 

- R2. Si un fichier PA est trouve, mais la condition d'acces a distance du fichier a 

acceder est "PRIVE": 

-> Alors l'acces a distance est interdit. 

- R3. Si un fichier PA est trouve, et la condition d'acces a distance du fichier a acceder 

est "PRIVE", et le fichier PA n'est pas le meme que le fichier LA : 
-> Alors 1'acces a distance est interdit. 

- R4. Si un fichier PA est trouv<5, et la condition d'acces a distance du fichier a acce*der 

est "PRTVE", et le fichier PA est le mfeme que le fichier LA, et la securite est 
desactivee dans le fichier LA : 

-> Alors l'acces a distance depend des conditions d'acces standard au fichier. 

- R5. Si un fichier PA est trouve\ et la condition d'acces a distance du fichier a acc£der 

est "PRIVE", et le fichier PA est le meme que le fichier LA, et la securite est 

activee dans le fichier LA : 

-> Alors l'acces a distance est autorise. 

- R6. Si un fichier PA est trouve, et la condition d'acces a distance du fichier a acceder 

est "PARTAGE", et la securite - est desactivee dans le fichier LA : 

-> Alors l'acces a distance depend des conditions d'acces standard au fichier. 

- R7. Si un fichier PA est trouv6, et la condition d'acces a distance du fichier a acc&ier 

est "PARTAGE", et la security est activee dans le fichier LA : 
-> Alors l'acces a distance est autorise\ 
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Annexe 2 
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REVENDI CATIONS 

1 . Systeme de communication, du type comprenant notamment une plurality 
d'equipements terminaux (MS.; 1) constitues chacun d'un terminal (ME ; 4) cooperant 
avec une carte utilisateur a microprocesseur (module SIM ; 5), 

5 chaque carte utilisateur incluant des moyens (8) de memorisation de donnees 

comprenant une pluralite d'objets (MF, DF, EF), lesdits moyens (8) de memorisation de 
donnees servant de support a au moins deux applications distinctes (appli. GSM, appli. 
dist 1 a appli. dist. 1" ; Fidelite, Paiement, GSM ; "DF1", "MF"), ladite carte utilisateur 
comprenant des moyens (6, 7) d'execution de commandes appartenant auxdites 

10 applications, 

chaque objet compris dans les moyens de memorisation de donnees d'une carte 
utilisateur etant associ£ a une premiere politique de controle d'acces (PCA Standard) 
definie par un jeu de premieres conditions d'acces (cond. d'acc. std 1 a cond. d'acc. std 
k), chacune desdites premieres conditions d'acces s'appliquant, pour ledit objet, a un 

15 groupe d'au moins une commande appartenant a la ou aux applications utilisant ladite 

premiere politique de controle d'acces, 

caracterise en ce que chaque objet est egalement associe a au moins une autre 
politique de controle d'acces (PCA a distance n°l, PCA a distance n°2), chaque autre 
politique de contrSle d'accfes etant deTmie par un jeu d'au moins une condition d'acces 

20 alternative (cond. d'acc. a dist. 1, cond. d'acc. a dist. 2), chaque condition d'acces 

alternative d'une autre politique de controle d'acces donnee s'appliquant, pour ledit objet, 
a un groupe d'au moins une commande appartenant a la ou aux applications utilisant 
ladite autre politique de contr61e d'acces donnee, 

et en ce que chaque objet est egalement associe a une plurality d'indicateurs de 

25 politique de contrdle d'acces, chaque indicateur de politique de controle d'acces 

indiquant, pour une desdites applications, quelle politique de controle d'acces, a savoir 
premiere ou autre, utiiiser avec cette application, lesdits indicateurs de politique de 
controle d'acces etant stockes dans lesdits moyens (8) de memorisation de donnees. 

2 . Systeme selon la revendication 1, caracterise' en ce que, pour chaque objet, au 
30 moins une autre politique de controle d'acces est specifique a une des applications. 
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chaque condition d'acces alternative de cette autre politique de controle d'acces specifique 
s'appliquant, pour ledit objet,. a un groupe d'au moins une commande appartenant a 
V unique application utilisant cette autre politique de controle d'acces specifique. 

3 . Systeme selon Tune quelconque des revendications 1 et 2, caracteris6 en ce que, 
pour chaque objet, au moins une autre politique de controle d'acces est entierement 
commune a au moins deux applications, chaque condition d'acces alternative de cette 
autre politique de controle d'acces entierement commune s'appliquant, pour ledit objet, a 
un groupe d'au moins une commande appartenant auxdites au moins deux applications 
utilisant cette autre politique de controle d'acces entierement commune. 

4 . Systeme selon l'une quelconque des revendications 1 a 3, caracterise en ce que, 
pour chaque objet, au moins une autre politique de controle d'acces est partiellement 
commune a au moins deux applications, 

certaines des conditions d'acces alternatives de cette autre politique de controle 
d'acces partiellement commune s'appliquant, pour ledit objet, a un groupe d'au moins 
une commande appartenant auxdites au moins deux applications utilisant cette autre 
politique de controle d'acces commune, 

d'autres des conditions d'acces alternatives de cette autre politique de contrSle 
d'acces partiellement commune s'appliquant, pour ledit objet, a un groupe d'au moins 
une commande appartenant uniquement a Tune desdites au moins deux applications 
utilisant cette autre politique de controle d'acces commune. 

5 . Systeme selon l'une quelconque des revendications 1 a 4. du type pennettant une 
radiocommunication cellulaire, caraetens6 en ce que ladite plurality d'equipements 
terminaux est une pluralite de stations mobiles (MS ; 1), lesdites cartes utilisateur etant 
des modules d' identification d'abonnd (module SIM ; 5). 

6 . Systeme selon l'une quelconque des revendications 1 a 5, du type comprenant en 
outre au moins un centre de service de messages (C-SMS), 

lesdits moyens de memorisation de donnees d'une carte utilisateur servant de 
support a au moins une application locale et au moins une application distante de ladite 
carte utilisateur, les commandes &ant dites locales, lorsqu'elles appartiennent a ladite 
application locale, ou distantes, lorsqu'elles appartiennent a ladite application distante, 
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chaque terminal (4) pouvant reccvoir des messages, de type normal (SMS) ou 
ameliore (ESMS), emis par ledit centre de service de messages, chaque carte utiBsateur 
(5) comprenant des moyens (9) de stoefcage et de traitement des messages recus par le 
terminal avec lequel elle coopere, 
5 les messages normaux contenant des donnees brutes constituant une information 

destinee a etre foumie a l'abonnS via notamment un ecran d'affichage du terminal, les 
messages ameliores (20) contenant descommandes distantes (cmd 1, cmd 2, ...). 

caracterisd en ce que lesdits moyens (8) de memorisation de donnees de chaque 
carte utilisateur stockent egalement une liste d'applications distantes autorisees (TP-OA I 
10 a TP-OA n), 

et en ce que chaque carte utilisateur comprend Egalement des moyens de 
discrimination des messages ameliores, permettant de bloquer chaque message ameliore' 
qui contient des commandes distantes n'appartenant pas a une desdites applications 
distantes autorisees. 

15 7 . Systeme selon la revendication 6, caracterise en ce que lesdits moyens de 

memorisation de donnees de chaque carte utilisateur stockent egalement, pour chacune 
desdites applications distantes autorisees, une reference secrete (Kappli) et un mode 
d'authentification de message (algojd) associes, 

el en ce que chaque carte utilisateur (module SIM) comprend egalement des 

20 moyens d'authentification des messages ameliores discrimin6s, permettant d'authentifier 

un message ameliore discrimine en utilisant la reference secrete et le mode 
d'authentification de message associes, dans lesdits moyens de memorisation de 
donnees, a 1' application distante autorisee a laquelle appartiennent les commandes 
contenues dans ledit message ameliore' discrimine. 

25 8 . Systeme selon Tune quelconque des revendications 1 a 7, caracteris6 en ce que, 

pour chaque objet, la ou au moins une des autres politiques de controle d'acces, dite 
seconde politique de contrdle d'acces, est defmie par un jeu d'au moins une condition 
d'acces alternative particuliere, chaque condition d'acces alternative particuliere pouvant 
prendre notamment les valeurs suivantes : 

30 - "aucun acces" ("JAMAIS") : si ledit objet n'est accessible par aucune 
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commande dudit groupe d'au moins une coramande auquel s' applique 
ladite condition d'acces alternative particuliere ; 

"acces priv6" {^PRIVE") : si ledit objet n'est accessible que par les 
commandes appartenant a une unique application pre'd&erminee, parmi 
ledit groupe d'au moins une commande auquel s'applique ladite condition 
d'acces alternative particuliere ; 

"acces partagd"" ("PARTAGE") : si ledit objet est accessible par les 
commandes appartenant a au moins deux applications predeterminers, 
parmi ledit groupe d'au moins une commande auquel s' applique ladite 
condition d'acces alternative particuliere. 

9 . Systeme selon l'une quelconque des revendications 6 a 8, caracterise en ce que, 
pour chaque objet, au moins une autre politique de controle d'acces, dite politique de 
controle d'acces a distance, est deiinie par un jeu d'au moins une condition d'acces a 
distance (cond. d'acc. a dist 1, cond. d'acc. a dist. 2), chaque condition d'acces a 
distance s'appliquant, pour ledit objet, a un groupe d'au moins une commande distante 
appartenant a la ou aux applications distantes utilisant ladite politique de controle d'acces 
a distance, 

et en ce que, pour chaque objet, seuls les indicateurs de politique de contrdle 
d'acces associes chacun a une des applications distantes peuvent indiquer ladite politique 
de controle d 1 acces a distance. 

1 0 . Systeme selon les revendications 8 et 9, caracteris6 en ce que, pour chaque objet, 
chaque condition d'acces a distance peut prendre les memes valeurs ("JAMAIS", 
"PRIVE", "PARTAGE") que lesdites conditions d'acces alternatives particulieres. 

1 1 . Systeme selon l'une quelconque des revendications 7 a 10, iesdits moyens de 
memorisation de donnees de chaque carte utilisateur possedant une structure hierarchique 
a au moins trois niveaux et comprenant au moins les trois types de fichiers suivants : 

fichier maitre (MF), ou repertoire principal ; 

fichier specialise (DF), ou repertoire secondaire place sous ledit fichier 
maitre ; 

fichier elementaire (EF), place" sous un desdits fichiers specialises, dit 
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fichier specialise parent, ou directement sous ledit fichier maitre, dit fichier 
maitre parent, .- 

caracterise en ce que lesdits moyens de memorisation de donnees de chaque carte 
utilisateur comprennent au moins un fichier elementaire systeme (EF SMS System), 
5 chaque fichier elementaire systeme etant lie a une application distante autorisee et stockant 

une premiere information de localisation de la reference secrete et du mode 
d'authentification de message associes a cette application distante autorisee a laquelle il est 
lie, 

et en ce que chaque message ameiiore" comprend une seconde information ("DF 
10 entree'^deloc^sauonduficmeraementaire systeme auquel est liee 1' application distante 

autorisee a laquelle appartiennent les commandes contenues dans ledit message ameiiore, 
lesdits moyens d'authentification lisant dans chaque message ameiiore discrimine 
ladite seconde information de localisation du fichier elementaire systeme, de facon a lire 
dans le fichier elementaire systeme ladite premiere information de localisation de la 
15 reference secrete et du mode d'authentification de message k uuliser pour authentifier ledit 

message am&iore" discrimine. 

12. Systeme selon la revendication 11, caracterise en ce que chaque fichier 
elementaire systeme (EF SMS System) est place sous un fichier specialise" (DF) ou 
directement sous le fichier maitre (MF), un fichier elementaire systeme au maximum 

20 pouvant etre place sous chaque fichier specialise, et un fichier elementaire systeme au 

maximum pouvant etre place" directement sous le fichier maitre. 

13. Systeme selon la revendication 12, caracterise" en ce que si aucun fichier 
elementaire systeme (EF SMS System) n'existe sous un fichier specialist (DF), ni sous le 
fichier maitre (MF), alors chaque fichier elementaire (EF) place" sous ledit fichier 

25 specialist, quelle que soit la valeur des conditions d'acces a distance associees a ce fichier 

elementaire, n'est accessible par aucune commande distante, 

et en ce que si aucun fichier filementaire systeme (EF SMS System) n'existe 
directement sous le fichier maitre (MF), alors chaque fichier elementaire (EF) place 
directement sous le fichier maitre, quelle que soit la valeur des conditions d'acces a 

30 distance associees a ce fichier elementaire, n'est accessible par aucune commande 
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distante. 

1 4 . Systeme selon Tune quelconque des revendications 1 1 a 1 3, caracterise en ce que 
ladite seconde information de "localisation du fichier elementaire systeme (EF SMS 
System) est un identificateur ("DF entree") d'un fichier specialise" (DF) ou d'un fichier 
maltre (MF) auquel se rapporte ledit fichier elementaire systeme selon une strategic de 
recherche predeterminee dans les moyens de memorisation de donnees. 

15. Systeme selon la revendication 14, caracterise en ce que ladite strategje de 
recherche predeterminee dans les moyens de memorisation de donnees est un mecanisme 
de recherche en amont (du type "backtracking"), consistant a rechercher si un fichier 
elementaire systeme (EF SMS System) existe sous le fichier specialist (DF) ou le fichier 
maitre (MF) indiqud par ledit identificateur, et, dans la negative et si Tidentificateur 
n'indique pas le fichier maltre, a rechercher si un fichier elementaire systeme existe 
directeraent sous le fichier maitre. 

1 6 . Systeme selon la revendication 10 et Tune quelconque des revendications 1 1 a 15, 
caracterise en ce que, dans le cas d'un fichier dont une des conditions d' acces a distance 
possede la valeur "acces prive*", ladite unique application distante pred&erirunee dont les 
coramandes distantes peuvent acctder audit fichier est, sous reserve que son 
authentification soit reussie, {'application distante autorisee parente dudit fichier, c'est-a- 
dire l'application distante autorisee liee au meme fichier 61ementaire systeme (EF SMS 
System) que celui auquel se rapporte le fichier specialise" (DF) parent ou le fichier maitre 
(MF) parent dudit fichier, 

et en ce que, dans le cas d' un fichier dont la condition d'acces a distance possede 
la valeur "acces partage", lesdites au moins deux applications distantes pre^eterrninees 
dont les commandes distantes peuvent acceder audit fichier sont, sous reserve que leur 
authentification soit reussie, toutes les applications distantes autorisees, quel que soit le 
fichier elementaire systeme (EF SMS System) auquel chacune d'elles est liee. 

1 7 . Systeme selon Tune quelconque des revendications 1 1 a 16, caracterise en ce que 
chaque fichier elementaire systeme (EF SMS System) comprend un ensemble distinct 
d'indicateurs de politique de contrdle d'acces, chaque indicateur de politique de contr61e 
d'acces indiquant, pour une desdites applications, quelle politique de contrdle d'acces, a 
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savoir premiere ou autre, utiliser avec cette application, 

ledit ensemble distinct d'indicateurs de politique de controle d'acces etant associe 
a tous Ies fichiers (EF, DF, MF) dont le fichier specialise (DF) parent ou le ficfaier maitre 
(MF) parent se rapporte audit fichier elementaire systeme (EF SMS System). 

1 8 . Carte utilisateur a microprocesseur (module SIM) du type destine 1 a cooperer avec 
un terminal (ME ; 4) de facon a constituer un equipement terminal (MS ; 1) d'un systeme 
de communication selon l'une quelconque des revendications 1 a 17, 

caracterisl en ce que cbaque objet des moyens de m6morisation de donnew de 
ladite carte utilisateur est egalement associe a au moins une autre politique de controle 
d'acces (PCA a distance n°l, PCA a distance n°2), chaque autre politique de controle 
d'acces etant definie par un jeu d'au moins une condition d'acces alternative (cond. d'acc. 
a dist. 1, cond. d'acc. a dist. 2), chaque condition d'acces alternative d'une autre 
politique de controle d'acces donnee s'appliquant, pour ledit objet, a un groupe d'au 
moins une commande appartenant a la ou aux applications utilisant ladite autre politique 
de controle d'acces donnee, 

et en ce que chaque objet est egalement associe" a une plurality d'indicateurs de 
politique de contrdle d'acces, chaque indicateur de politique de controle d'acces 
indiquant, pour une desdites applications, quelle politique de controle d'acces, a savoir 
premiere ou autre, utiliser avec cette application, lesdits indicateurs de politique de 
controle d'acces €tant stockes dans les moyens (8) de memorisation de donnees de ladite 
carte utilisateur. 

19. Precede de gestion securisee et independante d'au moins deux applications 
distantes, par une carte utilisateur a microprocesseur (module SIM ; 5) du type destine a 
cooperer avec un terminal (ME ; 4) de facon a consumer un equipement terminal (MS ; 1) 
d'un systeme de communication selon Tune quelconque des revendications 6 a 17, 

caracterise" en ce que, pour chaque message ameliore recti, ladite carte utilisateur 
(module SIM) effectue notamment I'etape suivante (511) : pour chaque commande 
distante contenue dans ledit message am61iore, verification de l*accessibUit6 de cette 
commande distante a l'objet concerne, ladite verification de 1'accessibilte s'appuyant sur 
une politique de controle d'acces, premiere ou a distance, a utiliser pour ledit objet 
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conceme avec ladite application distante courante. 

2 0 . Procede" selon la revendication 19, caracterise en ce que, pour chaque message 
ameliore recu, ladite carte utilisateur (module SIM) effectue egalement une etape prealable 
(54) de discrimination dudit message ameliore\ de facon a ne poursuivre son traitement 
que si 1' application distante. dite application distante courante, a laquelle appartiennent Ies 
commandes distantes qu'il contient est une application distante autorisee. 
2 1 . Precede selon Tune quelconque des revendication 1 9 et 20, caracterise en ce que, 
pour chaque message ameliore recu, ladite carte utilisateur (module SIM) effectue 
egalement une &ape prealable (57) d'authentification dudit message ameliore, en utilisant 
une reference secrete et un mode d'authentification de message associes a ladite 
application distante courante. 

2 2 - Procede selon l'une quelconque des revendications 19 a 2 1 , caracterise en ce que 
au moins certains des elements appartenant au groupe suivant peuvent etre crees et/ou mis 
a jour et/ou supprimes par 1'mteiTnediaire de commandes distantes : 

les valeurs des conditions d'acces, notamment premieres ou a distance, 
des politiques de contrdle d'acces associees a chaque objet ; 
l'indicateur de politique de controle d'acces, notamment premiere ou a 
distance, a utUiser avec chaque application pour chaque objet ; 
la liste des applications distantes autorisees ; 

pour chacune des applications distantes autorisees de ladite liste, la 

reference secrete et le mode d'authentification de message associes ; 

le ou lesdits fichiers elementaires systemes (EF SMS System) lies chacun 

a une application distante autorisee distincte ; 

les fichiers 616mentaires (EF), specialise" (DF) et maitre (MF). 
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